SecuriDropper : Comment contourner les défenses de Google pour diffuser du malware Android

Les logiciels malveillants de type « dropper » sur Android sont conçus pour servir de canal d’installation d’une charge utile sur un appareil compromis, ce qui en fait un modèle commercial lucratif pour les acteurs de la menace, qui peuvent en faire la publicité auprès d’autres groupes criminels. De plus, cela permet aux adversaires de séparer le développement et l’exécution d’une attaque de l’installation du logiciel malveillant.

« Les droppers et les acteurs qui se cachent derrière sont en constante évolution, car ils s’efforcent de déjouer les mesures de sécurité en constante évolution », a déclaré la société néerlandaise de cybersécurité ThreatFabric dans un rapport transmis à The Hacker News. L’une des mesures de sécurité introduites par Google avec Android 13 est ce que l’on appelle les paramètres restreints, qui empêchent les applications chargées latéralement d’obtenir les autorisations d’accessibilité et d’écoute des notifications, qui sont souvent utilisées de manière abusive par les chevaux de Troie bancaires.

SecuriDropper vise à contourner ce garde-fou sans être détecté, le dropper étant souvent déguisé en une application apparemment inoffensive. Voici quelques-uns des exemples observés dans la nature – « Ce qui distingue SecuriDropper, c’est la mise en œuvre technique de sa procédure d’installation », explique ThreatFabric. « Contrairement à ses prédécesseurs, cette famille utilise une API Android différente pour installer la nouvelle charge utile, imitant le processus utilisé par les places de marché pour installer de nouvelles applications. Plus précisément, il s’agit de demander les autorisations de lire et d’écrire des données sur le stockage externe (READ_EXTERNAL_STORAGE et WRITE_EXTERNAL_STORAGE), ainsi que d’installer et de supprimer des paquets (REQUEST_INSTALL_PACKAGES et DELETE_PACKAGES). Dans un deuxième temps, l’installation de la charge utile malveillante est facilitée en incitant les victimes à cliquer sur un bouton « Réinstaller » dans l’application pour résoudre une prétendue erreur d’installation.
ThreatFabric a déclaré avoir observé des trojans bancaires Android tels que SpyNote et ERMAC distribués par SecuriDropper sur des sites web trompeurs et des plateformes tierces telles que Discord. Un autre service de dropper qui a également été repéré offrant un contournement similaire des paramètres restreints est Zombinder, un outil de liaison APK qui a été soupçonné d’avoir été fermé au début de l’année ; il n’est actuellement pas clair s’il y a un lien entre les deux outils.
« Alors qu’Android continue de relever la barre à chaque itération, les cybercriminels s’adaptent et innovent eux aussi », a déclaré la société. « Les plateformes Dropper-as-a-Service (DaaS) sont devenues des outils puissants permettant aux acteurs malveillants d’infiltrer les appareils et de distribuer des logiciels espions et des chevaux de Troie bancaires.
Lorsqu’il a été contacté pour commenter les dernières découvertes, le porte-parole de Google a partagé la déclaration suivante avec The Hacker News – Les paramètres restreints ajoutent une couche supplémentaire de protection – la confirmation par l’utilisateur que les applications requises accèdent aux paramètres/permissions d’Android. Les utilisateurs d’Android contrôlent toujours les autorisations qu’ils accordent aux applications Les utilisateurs sont également protégés par Google Play Protect qui avertit les utilisateurs du blocage des applications connues pour leur comportement malveillant Appareils Android Google Play Services Nous examinons constamment les méthodes d’attaque pour améliorer les défenses d’Android contre les logiciels malveillants afin d’assurer la sécurité des utilisateurs Participez à notre webinaire Apprenez à relever les défis Lancez le programme Choisissez la bonne solution Participez à la conversation Les gourous de la sécurité apprennent les technologies Protégez vos applications Web Attaques furtives Inscrivez-vous gratuitement Commencez à recevoir votre dose quotidienne d’informations et de conseils en matière de cybersécurité